Stando al 2024 Security Awareness and Training Global Research Report di Fortinet (qui il link alla versione breve e qui alla versione estesa del rapporto) il 67% dei manager teme che i dipendenti siano scarsamente preparati in materia di cyber security.
Un tema rilevante meritevole di approfondimenti perché disegna una realtà distorta che rischia di scaricare sulle spalle dei dipendenti una visione della cyber security che i vertici delle imprese sono i primi a dovere perfezionare.
Inoltre, le risorse umane limitate (31%) e altre priorità aziendali (26%) sono i principali ostacoli all’implementare programmi di sensibilizzazione e formazione sulla sicurezza. Ossia budget e risorse a vantaggio di taluni manager che impediscono a loro parigrado di preoccuparsi della continuità del business e della salvaguardia dell’immagine dell’organizzazione per la quale lavorano.
Indice degli argomenti
I numeri del report
Per allestire il report 2024 Security Awareness and Training Global Research, Fortinet ha coinvolto 1.850 persone in tutto il mondo, tipicamente imprenditori e dirigenti di vario livello di imprese che danno lavoro a oltre 100 dipendenti, il 18% delle quali rappresentate da organizzazioni con forza lavoro superiore alle 5.000 unità.
I primi dati che saltano all’occhio sono relativi ai motivi per i quali le aziende avviano programmi di formazione, ossia:
- Incidenti o minacce precedenti (52%)
- Iniziativa aziendale (21%)
- Conformità normativa (13%).
Quindi, le imprese che formano il personale lo fanno in modo spontaneo soltanto nel 21% dei casi e, in media, 3 ore di sensibilizzazione l’anno sono ritenute sufficienti. Due terzi delle aziende (il 65%) istruisce i collaboratori solo perché obbligata a farlo oppure perché già oggetto di attacchi in passato. In altre parole, solo un’organizzazione su cinque agisce in modo veramente preventivo.
Emerge anche che il 67% dei manager interpellati ritiene che il personale non abbia sufficiente contezza dei principi di cyber security.
La formazione e la cultura del lavoro
Manca la formazione perché manca la cultura del lavoro. I dipendenti tendono a non soffermarsi sul fatto che una corretta postura fa parte del bagaglio professionale e, parallelamente, ancora troppe imprese non si prodigano affinché questa forma mentis venga diffusa né la soppesano nella valutazione dei curricula quando assumono personale.
Laddove le imprese formano il personale lo fanno per la mera continuità del business, per evitare che la produzione venga fermata, senza particolare attenzione ai danni di credibilità e immagine che ammantano le imprese vittime di attacchi.
Una visione miope che parte dagli alti ranghi aziendali, come conferma il Kaspersky IT Security Economics Report rilasciato durante i primi giorni del 2025 nel quale si legge che il 43% delle imprese considera i tempi di inattività e la perdita di produttività come i problemi più gravi causati da una sicurezza IT inadeguata.
Il profilo che ne esce è quello di manager concentrati sulla salute immediata delle imprese senza una prospettiva futura e, parallelamente, emerge una noncuranza dei lavoratori nei confronti della cyber security. Il sospetto che le due cose sono strettamente collegate, ossia che i dipendenti abbiano una scarsa predisposizione ai principi di sicurezza perché le aziende peccano del medesimo male è tema da scandagliare.
La necessità di invertire la rotta
Con il supporto dell’ingegnere Luigi Martire, Threat Research Leader di Tinexta Cyber, entriamo un pochino più nel dettaglio a partire dalle minacce create o diffuse tramite AI che, per il 31% dei manager, sono prese sottogamba, come se vigesse la convinzione che sono più facili da riconoscere.
“Questa affermazione a mio avviso andrebbe approfondita con attenzione. e potrebbe suggerire una percezione distorta e potenzialmente pericolosa del problema. In primis è vero che le minacce basate su AI possono essere identificate, perché molto spesso seguono dei pattern costanti che rendono, quindi, tale strumento ‘prevedibile’ o ‘strutturato’. Negli ultimi mesi, infatti, sono nati anche degli strumenti che permettono la loro identificazione e stanno prendendo sempre più piede”.
“Tuttavia, non bisogna commettere l’errore di considerare che le minacce che sfruttano le AI siano solo quelle che hanno a che fare con phishing, o qualcosa che ha interazione con la vittima: molto spesso gli attaccanti usano le AI per rendere più complesso il codice dei malware che gli attaccanti usano. Quindi, se da un lato le tecnologie di detection stanno evolvendo, dall’altro l’IA amplifica anche le capacità degli aggressori, richiedendo un approccio sempre più proattivo e strategico alla cybersecurity”, spiega Luigi Martire.
I report redatti da Fortinet e Kaspersky mostrano che c’è ancora tanto lavoro da fare. Se da un lato ci sono manager molto attenti alle necessità della cyber security, dall’altra parte – per i motivi più disparati – le politiche di sicurezza attuate si dimostrano fallaci o in ogni caso perfettibili.
Nonostante la divulgazione e la cronaca che narra episodi di breach e leak, ci sono imprese che sembrano non percepire o non inquadrare in modo pertinente né i pericoli né le capacità del cyber crimine.
Uscire da questa situazione appare complicato, soprattutto alla luce del fatto che talune imprese non ritengono vitali gli investimenti in cyber security: “Nonostante le numerose iniziative di sensibilizzazione e divulgazione, molte organizzazioni, soprattutto quelle in cui l’informatica non è centrale per il core business, faticano ancora a comprendere quanto la cyber security riguardi tutti. Questo accade nonostante le normative già in vigore, come il GDPR, e le più recenti direttive come NIS2 e DORA“, aggiunge Luigi Martire.
“Il budget è sicuramente un altro punto spinoso per le aziende: le risorse dedicate alla protezione informatica sono spesso inadeguate e le politiche aziendali prioritizzano altre aree, rendendo difficile per i responsabili IT ottenere il sostegno necessario. Uscire da questa situazione non è sicuramente una cosa semplice. È necessario un cambio di mentalità: la cyber security deve essere vista come un investimento strategico, non come un costo ricordando sempre che tutti gli studi, come quello di Ponemon è statisticamente superiore al costo di prevenzione”, conclude l’ingegner Martire.